IMAP / POP3 / ASP minano l'autenticazione a due fattori?

8

Quando accedo a hotmail o Google o posteo posso accedere solo utilizzando il 2FA che ho impostato. Tuttavia, ciascun provider sembra avere un'alternativa per le app che non sono autorizzate tramite un client Web.

  • Hotmail / Google: 16 caratteri minuscoli "specifica per app"
  • Posteo: IMAP / POP3

Questa password specifica per app fornisce a qualsiasi app l'accesso completo al tuo account. Posso usare la stessa password specifica per l'app di thunderbird per leggere tutti i messaggi usando un'app di posta sul mio telefono.

Nel caso di Posteo, inserisco semplicemente la password come se 2FA non fosse stato impostato e sarei in grado di caricare qualsiasi casella di posta in arrivo.

Ora date le situazioni di cui sopra, davvero non capisco come IMAP / POP3 e password specifiche per app possano esistere quando 2FA è abilitato, in quanto ignorano completamente 2FA.

Qual è la cosa fondamentale che mi manca qui?

    
posta CCXD 18.11.2017 - 21:45
fonte

2 risposte

5

Non ti manca nulla.

È un'opzione di convenienza che di solito deve essere attivata specificamente quando 2FA è abilitato e in qualche modo sfugge a 2FA.

Altrimenti, smart phone e client di posta sarebbero abbastanza inutili, o almeno ingombranti.

Nel caso di client di posta smart phone: per la maggior parte delle opzioni 2FA, lo smart phone è il secondo fattore, quindi non c'è nemmeno un enorme vantaggio. (E altre opzioni potrebbero non essere possibili, ad esempio gli iPhone non possono usare yubikeys).

Tuttavia, 2FA ti aiuta ancora quando la password IMAP / POP3 / SMTP è strong e unica per quell'account e la connessione è protetta da TLS: non puoi ancora essere phishing e puoi usare lo smartphone e la password non può essere bruta forzato e non può perdere (perché è strong e usato solo lì).

    
risposta data 18.11.2017 - 22:10
fonte
1

L'autenticazione sul lato server non è magica. Sono solo gli algoritmi che fanno ciò che fanno gli algoritmi. Se 2FA è abilitato su un sito, il sito chiederà la tua password, quindi, supponendo che sia corretta, richiederà il tuo codice 2FA. Se il sito ha un meccanismo come password specifiche per app e ne fornite uno, non richiederà il codice 2FA. È abbastanza semplice.

Il vantaggio con le password specifiche dell'app è che puoi configurare un'applicazione o un servizio con accesso limitato al tuo account. In genere, una password specifica per app non può essere utilizzata per apportare modifiche al proprio account (a meno che un sito non sia progettato in modo approssimativo o bug). Dovresti comunque avere la tua password principale e il codice 2FA per farlo.

    
risposta data 19.11.2017 - 00:37
fonte

Leggi altre domande sui tag